Ponta会員ローソンアプリユーザーは「他人の電話番号や誕生日の入手」や「自分の電話番号や誕生日の開示」をしてはいけない 77
ストーリー by hylom
下手に誕生日祝いもできないぜ 部門より
下手に誕生日祝いもできないぜ 部門より
nojiri 曰く、
ローソンがPonta会員用のAndroidアプリ(ローソン公式スマートフォンアプリ)をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。
「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」(高木浩光氏による画面キャプチャ)
なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。
Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。
ちなみにセキュリティ専門家の高木浩光氏によると、ID・電話番号・誕生日は不正アクセス禁止法の「識別符号」に当たらないとのこと。
ダイジョブ、ダイジョブ (スコア:5, おもしろおかしい)
「万一、誕生日の情報を第三者に知られた場合は、早急にサポートセンターにて誕生日変更の手続きを行ってください」
Re:ダイジョブ、ダイジョブ (スコア:3, おもしろおかしい)
誕生日の停止は可能ですか?
Re:ダイジョブ、ダイジョブ (スコア:5, おもしろおかしい)
すでにこの方が30年ほど停止済みです。
http://ja.wikipedia.org/wiki/%E4%BA%95%E4%B8%8A%E5%96%9C%E4%B9%85%E5%AD%90 [wikipedia.org]
Re:ダイジョブ、ダイジョブ (スコア:2, 参考になる)
認証に必要なのは誕生月日(MMDD)なので、
17歳教の方々も問題なくログインできます。
Re:ダイジョブ、ダイジョブ (スコア:2)
(ぉぃぉぃ......)
その人が止めてるのは誕生日じゃなくてインクリメントなのでは。
Re:ダイジョブ、ダイジョブ (スコア:2)
#ただし、インサーンの声で
永世小学六年生神アイドル支持者(バランス取らなくっちゃなぁっ!!)
Re:ダイジョブ、ダイジョブ (スコア:1)
停止どころか、ロールバックしたよね。
ローソン曰く「友達つくるな」 (スコア:5, 興味深い)
それならしょうがないな。
Re: (スコア:0)
友達のいるやつは会員になるなってのが正しい。
利用規約として明示してあるんだから。
でも、会員になる前に「流出」した情報について
どうにかしてくれるわけじゃないところが穴だな。
Re: (スコア:0)
「敵(とも)」は友達に入りますか?
Re: (スコア:0)
ローソンは何でも知っている (スコア:5, 興味深い)
別件なのでタレコミでは省略しましたが、ローソンアプリの規約には、トンデモナイ条項がまだあります。
http://twitpic.com/9794sh [twitpic.com]
集められるものは、とりあえず集めておけという方針ですな。
ローソンでの購入履歴を集めるだけならともかく、Webの利用履歴と端末情報が購入履歴に結びつけられます。
…ところで、「携帯電話の固体識別番号」って、何だよ。>ローソン
Re:ローソンは何でも知っている (スコア:1)
液体の携帯端末は携帯するのが少々面倒そうですね
Re:ローソンは何でも知っている (スコア:2)
液体の携帯端末だと、電源を切ってても航空機などへの持ち込みが禁止されそうですね。
自家用車(機)を持っていない場合は、移動がとても面倒になりますね。
今時携帯を持って外出しないのはありえませんから。
「等」のってなんだよ (スコア:1)
結構、具体的に書いてるあるのに「等」ってなんだよ。等って不要だろ、わざわざ書くってことは・・・。インストールするときに必要な権限で読み取れる情報は全部と思ったほうがいいのかな?
早速jbeef氏が (スコア:4, 参考になる)
twitterまとめがありました
ローソンWi-Fiが誕生日と電話番号を誰かに伝えることを禁止! @akiko_lawson @Ponta_now @wi2_300
http://togetter.com/li/285635 [togetter.com]
いつものごとく盛り上がってるというか・・・
かゆいうま
GEOも一緒やなあ・・・ (スコア:3)
というか,ポンタのメインページでは,
会員ページへアクセスするのは
「会員ID」「パスワード」なんだよな。
http://www.ponta.jp/u/LWAS900/SLWAS900010.htm?p=%2fu%2fLWEM300%2fSLWEM300010%2ehtm
なんで,こんなにちぐはぐなんだ?
Re:GEOも一緒やなあ・・・ (スコア:2)
ゲオの場合はそこでID・生年月日・電話番号を入力後、新ためてゲオのID・パスワード氏名・住所その他を入力させられる。
アカウント作成後、ログインにはゲオ用のIDとパスワードを用いる。
ゲオ登録後は同じPontaのIDで新規会員登録できない。
レンタルするには、さらに店舗でカードと身分を証明するものを提示しなければならない。
ゲオに関しては、悪用してもそのPontaのIDでゲオの会員登録ができなくなるだけかな。
これは使える (スコア:3, おもしろおかしい)
「私、誕生日に○○が欲しいな」
「すまない、俺Ponta会員なんだ」
Re: (スコア:0)
どっちの誕生日?
Re: (スコア:0)
どっちでも
Re: (スコア:0)
Ponta会員は、手段の如何を問わず、他人の誕生日を入手しちゃいけないんだもんw
いろいろな面で甘いとしか・・・ (スコア:2, 参考になる)
>同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。
他方、アプリの利用にかかわらずPonta会員規約 [ponta.jp]が存在するわけですがそちらには同様の条項はありません。
モバイルアプリを利用しない会員にはこの禁止条項は適用されないわけですね。
Re: (スコア:0)
なんかまた、お馬鹿な仕組みですねぇ。
高木さんが書きますよ。
先生が書くより先に(笑) (スコア:4, 参考になる)
素人に毛が生えた程度の輩が公式サイトを4ページほどざっと見てみた感想
・トップページ(非SSLページ)からログインできるっぽい(試してはないのでちがったらゴメン)
→パケット改竄への考慮なしですかね
・すごろくキャンペーンのページの下にはセキュリティ警告を無視するように説明
→ブラウザのセキュリティ警告みたいな機能は無駄だと思っているかな?
・動的に生成されていると思われる個所に「生の&」(&ではない)を発見
→必要だと思ったところ以外ではエスケープ処理を行っていない可能性が高いので
XSSやSQLインジェクションがあっても驚きに値しないパターン
とりあえず、家族がタヌキの絵につられてカードを作っていた気がするので
一応注意するように言わなくては…
Re: (スコア:0)
携帯電話を契約するときは連絡先電話番号・誕生月日を開示しますね。
つまり携帯電話を契約するだけで規約違反…。
Re:いろいろな面で甘いとしか・・・ (スコア:1)
Re:いろいろな面で甘いとしか・・・ (スコア:1)
ローソンで作ったPontaを持ったままゲオに入会するとどうなるのだろう…
#普通は電話番号やら生年月日の入った身分証を要求されるよね?
Re:いろいろな面で甘いとしか・・・ (スコア:1)
> Ponta退会のために(中略)カードを失効する
何にせよ目的は達成されるのだからいいじゃない
# いいわけねーだろ
クレジットカードの明細みたいに (スコア:2)
>Ponta会員IDはレシートに印字されています。
上4桁と下4桁以外は全部アスタリスクにするとか思いつかなかったのだろうか?
早速変更するみたいだけど (スコア:2)
サービス一時停止はしないのね。
http://www.lawson.co.jp/company/news/054116/ [lawson.co.jp]
ちょっとした知り合いのなら簡単に情報入手できそうだね (スコア:1)
電話番号は電話帳から
誕生日はFacebook等のSNSから
・・Pontaポイントってそんなに溜まるもの?
レシートは必ず持ち帰りシュレッダーかけろ、電話帳に電話番号乗せるな、誕生日は非公開設定にしろ。
誕生日祝ってもらえないのもさびしいね(´・ω・`)
知人に教えたくないときの口実 (スコア:1)
ローソンは偉いな。
「Ponta会員だから、教えられない。」
この一言で済む。
本名を知られると呪われる (スコア:1)
むかし、本名を知られると呪術に使われる可能性があるからといって、
本名はごくわずかな親しい人にしか知らせず、ふだんは通名で呼び合っていた
時代がありました。
21世紀の現代、誕生日や電話番号を知られるとなりすましの可能性があるからといって、
ふだんは通誕生日や通電話番号を使う時代がやってこようとしています。
# 通電話番号って、役に立たないじゃん
Re:本名を知られると呪われる (スコア:1)
へー、そんな時代があったんですか。Anonymous Cowardさん:)
Re:本名を知られると呪われる (スコア:1)
電話番号で知らない人を呼び出すって、もしかしてLINE?
http://matome.naver.jp/odai/2133103321519468601 [naver.jp]
ダチョウ倶楽部メソッド (スコア:0)
これでシステム改善したことになるなら絶対に楽。
あれ? (スコア:0)
ロッピーって4ケタの暗証番号が必要じゃなかったでしたっけ?クレカだけ?
またロッピーか (スコア:3, 興味深い)
Pontaになってからかな?最近認証要らないです。
今回のトピックはアプリの話だけど、カードであれば紛失しない限り他人に使われることはないし、紛失したところでたかがポイントだってことで割り切れる。
だけど、それはそれで問題もあって。。
過去のローソンパスは使用時に認証求められたんだけど、ロッピーの入力画面がものすごく盗み見しやすいんだよね。
なので、ロッピー使ってるだけで暗証番号を公開しているようなもので、実質意味がなかった。
しかし意味が無いだけならまだマシで、実はこの暗証番号がクレジットの暗証番号と共通なので、キャッシングできちゃう酷い仕様。
この仕様考えたヤツ死ねよと、使う度に呪わざるを得ませんでした。
Re:またロッピーか (スコア:1)
うちの(以前使っていた)ローソンパスはハウスカードかつキャッシング枠ゼロをすったもんだの挙句設定して貰ったんだけど、肝心のクレジットが自動リボということで、知らずにクレジット払していたら1万円前後の利用で月に数百円のも利息が付いたという…。(ポイント分以上を現金で取り返されるわけです。)
それでもってカードを渡すとバーコードスキャンした後レジスキャンして「意図しないクレジット払い」が発生してトラブルになって以来、店員に向けて「かざす」ことしかしなくなりました。
結局カード期限切れでクレジットPontaの乗り換えをお勧めされたんだけど、ハウスカードもリボ収益狙いがイヤだし、何よりローチケクレジット優待があってもイベントチケット争奪でクレジット付きのアドバンテージがあるわけじゃないので、通常Pontaに移行しました。
(そのときのポイント移行でロイヤルカスタマーとセゾンカードを何回たらい回しされたか…。)
何より謎なのは、顧客情報を収集してその顧客のためになる情報を還元するつもりがあるのかどうか…。
Re: (スコア:0)
ローソン(あるいはPonta)のサービスとしては暗証番号やパスワードもあるんだけど、
あえてこのAndroidアプリでは使わない形にしているらしい。
意図は分からないけど、
もしかしたらサービスを2階層にしてリスク分散しているのかもしれない。
真っ当な認証を掛けた安全なサービスと、それをしない捨てサービスと、に。
Re:あれ? (スコア:1)
メインサービス側で認証用の一時キー発行とかでいいはずなんだけど...
なに考えてるんだろ?
M-FalconSky (暑いか寒い)
ローソン、お前もか (スコア:0)
将来的に、ほぼ全店(9000店舗)に導入予定と言うことからも、
運営コストとユーザビリティ、情報セキュリティ対策等も
きちんと考慮してのサービスインだった筈だろうに、
どうしてこんな斜め上な規約がまかり通るなんて考えちゃったんだろ?
バックには三菱だってついてるのに・・・。
Re:ローソン、お前もか (スコア:2)
・作った所がパスワードとの照合をする技術が無かった
・作った所の営業にパスワード管理の煩雑さが無いとか丸め込まれた
他に考えられそうなのは?
Re:ローソン、お前もか (スコア:1)
バックには三菱だってついてるのに・・・。
あ・・・。
Re:ローソン、お前もか (スコア:1)
おや、図書館から誰か来たようだ
Re:ローソン、お前もか (スコア:1)
誕生日と電話番号を知られてはならぬ等と誰も言ってない!!1! (スコア:0)
誕生日と電話番号を知られちゃ行けないなんて無茶なこと言ってないだろ!!1!
よく読めよ!
10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。
ほら、IDと、誕生日と、電話番号を知られてはならないって言ってるわけだろ?
たけど誕生日と電話番号なんて知られて当然だとすりゃ、知られちゃ行けないのはIDだよ!
だからこれはPonta IDは登録したら最後絶対に開示しちゃいけないってことなんだよ!!
手段のいかんを問わずね!もちろん店でも使っちゃいけないってことなんだ!!
だからPontaをポイントカードとして使うのは間違い。
入手したらまずカードを誰にも読み取られないように厳重に封印して、耐火・対盗難が施された金庫に厳重に保管するか、銀行の貸金庫にでもしまっておくのが正しいんだよ!
ポイントが貯まってるって事は、一回でも開示したことがあると言う証拠。みてろよ、もうすぐ一斉にBANされるぜ!1
Re: (スコア:0)
ごめん、あんまりおもしろくなかった
Re: (スコア:0)
(´・ω・`)